В преддверии запуска конфиденциальной криптовалюты Zcash разработчики устроили настоящую церемонию. Чтобы продемонстрировать надёжность койна, они буквально поставили свою репутацию на кон: мероприятие должно было не только доказать жизнеспособность и безопасность монеты, но и требовало координированных действий шести участников со всего мира. Тем временем одно из имён в чате сразу вызвало подозрения: «Моисей».

После завершения церемонии стало известно, что под псевдонимом скрывался Дерек Хинч, консультант остинской компании NCC, специализирующейся на кибербезопасности. Как оказалось, во время мероприятия у него было сразу две задачи: не только успешно провести церемонию, но и изо всех постараться её взломать. Как следует из опубликованного сегодня отчёта NCC, Хинч справился лишь с одной из них: несмотря на все усилия, хакер так и не смог скомпрометировать Zcash.

«Осколки токсичных отходов были успешно сгенерированы и утилизированы, в чём и состояла суть церемонии», — рассказал Хинч.

Столь необычным названием разработчики наградили шесть частей единого частного ключа безопасности, которые надо было объединить с помощью криптовалютных протоколов. Если бы кто-то добыл копии всех шести, то смог бы при помощи этих «токсичных отходов» выпускать фальшивые койны — весьма серьёзная угроза, учитывая анонимную природу транзакций Zcash. Причём генерировались эти осколки по всему миру.

Хинч работал с двумя компьютерами: на одном хранилась настоящая часть ключа, которая использовалась в церемонии, другой — следовал тем же инструкциям, но стал «подопытным», на котором испытывали разные атаки. Разработчики Zcash даже  предоставили доступ к руту и всем паролям в системе, что позволило отключить некоторые протоколы безопасности в системе Grsec.

В итоге даже со всеми этими инструментами Хинч не смог удалённо скачать «токсичные отходы». Впрочем, определённого успеха он смог добиться при попытке физической атаки на память компьютера: с помощью FireWire-платы, установленной в систему до начала церемонии, взломщик скачал 2,2 гигабайта кода из хранившихся там восьми, но осколка ключа в полученных данных не оказалось. Впрочем, по словам Хинча, в реальных условиях такой фокус бы не удался — компьютеры с ключами стоят в специальных помещениях с постоянным видеонаблюдением.

Тем не менее, Хинч дал несколько рекомендаций на тот случай, если подобные церемонии будут проводиться в будущем. Так, он посоветовал провести «инвентаризацию» данных каждого компьютера, на котором хранятся «токсичные отходы», чтобы отрезать все физические пути к памяти.

И хотя атака была направлена на точную копию, а не на систему с настоящим ключом, создатели Zcash отметили в своём блоге, что полученные данные всё же говорят в пользу безопасности их системы, что должно стать пусть и не стопроцентным, но немаловажным аргументом для скептиков.